ページの先頭です

企業経営におけるサイバーセキュリティを問い直す

2023年11月2日 経営コンサルティング部 馬場 七海

多くの企業が直面するサイバーセキュリティリスク

DXをはじめとするデジタル技術の活用は、サービス価値や生産性の向上などさまざまなメリットをもたらす反面、デジタル環境を利用したサイバー攻撃に晒されるリスクを高めることになった。近年、ランサムウェア*1による被害が急拡大しているが、警察庁の資料*2によると、企業・団体等における身代金要求を目的とした同被害の報告件数は230件(前年比58%増)と右肩上がりで増加している。我が国におけるランサムウェアの被害例としては、2020年に大手ゲームメーカーが売上や取引先情報、内部資料を攻撃グループに盗まれたことが挙げられる。その際、攻撃グループはデータの窃取に加え、1テラバイトを超える大量の情報を持っていると恐喝し、同社に十数億円の身代金を要求した。今後、企業におけるITへの依存度が高まっていくことに伴い、このようなサイバー攻撃を受ける可能性が一層増している。

本稿では、近年のサイバー攻撃手法の変化を受けた企業のサイバーセキュリティリスクの変化を概観し、 その上で、企業がどのように考え、行動していくべきか、そのキーポイントを考察する。

サイバー攻撃手法の変化と企業への影響範囲の広がり

上述したランサムウェアの登場により、サイバー攻撃で狙われる企業の対象範囲が拡大した。従来のサイバー攻撃手法は、窃取情報の売買を目的としていたため、営業秘密や知的財産に関する情報等の「対外的に価値の高い情報を取り扱う企業」が攻撃対象であった。しかし、ランサムウェアによる攻撃は業務停止や取引先などの情報の漏洩に対する身代金の要求を目的としているため、対外的な情報価値の高さに関わらず「ITシステムを導入する全ての企業」が攻撃対象になる。さらに、自社のシステムが他社のシステムとデータ連携している場合は、サプライチェーン規模での業務停止や情報漏洩につながる可能性もある。

事実、委託先・取引先を起因としてサイバー攻撃を受け、サプライチェーン全体が生産停止やシステム・データ等の被害を受ける事例が多発している。2022年、大手自動車メーカーはサプライヤーの部品メーカーを通じてランサムウェアに感染し、国内全工場が稼働停止に陥った。このようなサプライチェーンにおけるセキュリティリスクに対しては、アメリカが2021年5月に大統領令を発令し注意喚起を行うとともに、日本でも経済産業省が情報処理推進機構(IPA)とともに策定した「サイバーセキュリティ経営ガイドライン Ver2.0」において、サプライチェーン全体でのセキュリティ対策に追加や変更がなされ、2023年3月に改訂された「同Ver3.0」においてもさらに追加・修正が行われている。

ITを活用する全ての企業にとってサイバーセキュリティリスクへの対応が必要となってきているが、特にさまざまな企業がシステムを介して複雑に絡み合うサプライチェーンにおいては、その対応がより喫緊の課題となっている。そのため、自社のサイバーセキュリティについて問題意識を持っている企業も多いのではないか。

企業に影響するサイバーセキュリティリスクの変化

それでは、企業に影響を及ぼすサイバーセキュリティリスクとは、どのようなものであろうか。最近では、従来のリスクに加えて、財務への影響、取締役個人への責任にまで及んでいる。

(1)サイバー攻撃が企業経営に与える財務影響の拡大

セキュリティに関する危機事象の発生により、企業が被る財務影響は大きい。なぜなら、たとえばランサムウェアによる被害においては、情報の漏洩だけなく滅失の可能性があるからである。警察庁が公表した資料*3によると、ランサムウェアの被害時における情報復元結果について、「復元できなかった」企業の割合は71%と大きな割合を占めている。情報の滅失による企業への財務影響としては、決算報告の遅延や復旧コスト、他社への損害賠償などの特別損失が考えられる。

事実、大手食品関連企業は2021年、基幹システムへのサイバー攻撃の影響により第1四半期報告書の公表を延期する事態となった。さらに、復旧対応費として数億円の特別損失を計上している。

また、日本サイバーセキュリティ・イノベーション委員会が2018年に公表した調査*4によると、日本国内で情報流出等の適時開示を行った企業は、復旧対策費等の計上などにより純利益が平均21%減少している。さらに、ランサムウェアは自社システムを踏み台にして取引先システムに侵入し、事業停止や身代金を要求することもあるため、企業の財務への影響がさらに大きくなる可能性がある。

また、サイバー攻撃ではないが、2014年に教育関連企業で発生した顧客の個人情報漏洩事故では特別損失に加え、被害者による訴額数億円の集団訴訟や役員個人に対する訴額数百億円の株主代表訴訟についても提起された。この事例を皮切りに日本においても集団訴訟や株主代表訴訟の裁判件数が増加していることから、このような潮流はランサムウェアをはじめとするサイバー攻撃においても同様になると想定される。

(2)取締役個人への責任範囲の拡大

ランサムウェアによる攻撃の主流は、従来の「データの暗号化」から「データの窃取」へと変化しつつある。データの窃取により、攻撃者は暗号化されたデータの復旧を引き換えに恐喝を行い、さらに窃取したデータを公開しないことを引き換えに恐喝する「二重恐喝」を行うのである。警察庁が公表した資料*3によると、ランサムウェア被害の手口別報告においても、二重恐喝が全体の65%と大きな割合を占める。二重恐喝になることで、企業は自社における事業停止やデータ復旧に加え、窃取されたデータの公開に伴う顧客や取引先への損害などへの対応が求められることとなった。そして、それは昨今のコーポレートガバナンスの意識の高まりと相まって、「企業の利益を最大化するために合理的な行動をするべき」とされる各企業の取締役に対する善管注意義務がより明確に意識されるようになってきている。

つまり、セキュリティに関する危機事象の発生時においても、株主による取締役個人への責任追及の可能性があるとともに、サプライチェーンに影響を与えた場合には、その責任についても追及される可能性がある。そのため、従来の個人情報の漏洩防止を目的とした安全管理措置にとどまらず、今後は二重恐喝やサプライチェーンへの影響を念頭に置いた安全管理措置が必要になると考える。

サイバーセキュリティリスクを軽減するために取るべき対策

これまで述べたように、ひとたびセキュリティに関する危機事象が発生すると、企業経営のみならず取締役をはじめとする経営層個人にとって重大な影響を及ぼすため、サイバーセキュリティリスクへの対策は、全ての企業にとって必要となりつつある。

一方で、サイバーセキュリティ対策以前の問題として、ITシステムやデジタル技術のメリットのみを意識し、経営層が自社のセキュリティ状態を把握していないケースも少なくないのではなかろうか。企業経営におけるサイバーセキュリティ対策は、その影響範囲から考えて、経営層が自分事として対応すべき待ったなしの課題である。では、予算に限りがある中、何をどこまですればよいのだろうか。

セキュリティに関する危機事象の発生時に企業が被る法的責任の観点から、企業リスクを軽減するために取るべきことは、①国やIPA等がガイドラインで「必要である」と記載しているセキュリティ対策を講じること、②セキュリティに関する危機事象の発生時の社内体制を整備することの2つであろう。

①については、東京地判平成26年1月23日のサイバー攻撃による個人情報が流出した事件の判例が参考となる。この裁判ではITベンダーのシステム脆弱性が争点となった。システム脆弱性の判断においては、国やIPA等が「対策をすることが必要である」と明記していたものについて脆弱性が認められると判断された。この判例により、今後も従来のITシステムに関する一般的な対応方法である契約書面等への明示の有無に関わらず、現時点で①国やIPA等がガイドラインで「必要である」と記載しているセキュリティ対策を講じることが重要となる。②については、サイバー攻撃ではないが東京公判平成25年7月24日のシステムのバグにより注文の取消処理が行えなかった事件の判例が参考となる。この裁判では、バグが認識できる状態であったかなどの危機事象の発生に備えた組織体制や発生後の危機対応が判断基準となった。

このように、セキュリティに関する危機事象の発生時における企業リスクを軽減するためには、①国やIPA等がガイドラインで「必要である」と記載されているセキュリティ対策を講じること、②社内体制が整備されていることが重要といえる。

なお、社内体制の整備は、社内体制を構築することだけでなく、危機事象の発生時に実際に機能することの両方が担保されて初めて重過失が免れるものであり、今後は構築だけでなく、危機事象が発生した際の対応マニュアル(セキュリティ関連の危機事象版のBCP)策定や定期的な訓練などの実施も求められると考える。

経営層の積極的な関与が求められる

企業におけるDX推進やIT活用の進化はこれからも続いていく。それに伴いサイバー攻撃も進化し、今後も突然予期せぬ問題に見舞われる企業は、少なくないだろう。

サイバーセキュリティ対策については、競合他社の動向に合わせた横並びの一時的な対応や、契約書上の文言でリスクヘッジを図るといった対症療法的な対策ではもはや通用しない。このことを経営層が認識し、先に述べた①国などが提唱するガイドラインに準拠していること、それを実現する②社内体制が整備され、その体制が危機発生時に実際に機能するかを今一度見直すことから始めるべきである。

その上で、国や関係機関の最新動向も注視していきたい。たとえば、医療機関では、2023年4月に医療法の関連省法令が改正され、遵守すべき事項にサイバー対策の追加が予定されている。サイバーセキュリティ分野においては、今後も国や関係機関から予告なく対応が発出されることが想定される。

企業が環境変化に伴い顕在化するリスクを回避し、さらなる成長を遂げるために、経営層がサイバーセキュリティ対応に積極的に関与することが求められている。

  1. *1ランサムウェア(Ransomware)とは、情報を暗号化し、「解除してほしければ金を払え」と身代金を要求するサイバー攻撃の1つである。
  2. *2警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
  3. *3警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
  4. *4一般社団法人日本サイバーセキュリティ・イノベーション委員会「取締役会で議論するためのサイバーリスクの数値化モデル ―サイバーリスクの金額換算に関する調査―」
ページの先頭へ